我正在与Active Directory搏斗,试图让它让我更改密码。我发现了大量有用的信息,但我仍然遇到了持续的错误。
一些代码:
import com.unboundid.ldap.sdk._
import com.unboundid.util.ssl._
def main(args: Array[String]) : Unit = {
var sslUtil = new SSLUtil( new TrustAllTrustManager() )
var con = new LDAPConnection(sslUtil.createSSLSocketFactory())
con.connect("ldap.example.net", 636)
con.bind("ldapadmin", "adminpasswd")
val newPass = "Jfi8ZH8#k".getBytes("UTF-16LE");
val modRequest = new ModifyRequest("dn: cn=Tester Dude,ou=Lab,ou=Org,ou=Provider,DC=example,DC=net",
"changetype: modify",
"replace: unicodePwd",
"unicodePwd: " + '"' + newPass + '"')
println("\nGoing to try to set password to " + newPass + " with: " + modRequest.toString())
try {
con.modify(modRequest)
} catch {
case lde:LDAPException => println("failed LDAPException: " + lde.toString())
}
}
所以,我将此作为运行时错误:
尝试将密码设置为[B @ 6dd1627e with:ModifyRequest(dn ='cn = Tester Dude,ou = Lab,ou = Org,ou = Provider,DC = example,DC = net',mods = { REPLACE unicodePwd})
LDAPException失败:LDAPException(resultCode = 53(不愿意执行),errorMessage ='0000001F:SvcErr:DSID-031A11E5,问题5003(WILL_NOT_PERFORM),数据0 ',diagnosticMessage ='0000001F:SvcErr:DSID-031A11E5,问题5003(WILL_NOT_PERFORM),数据0 “)
因此,我所知道的事情可能导致此错误:
无论是否有密码附加的引号,我都试过了。
最有用的信息来源是:
http://www.dirmgr.com/blog/2010/8/26/ldap-password-changes-in-active-directory.html
但是我已经筋疲力尽了那里的所有建议(还有很多其他的地方)。
我还尝试了其他一些方法,包括为手动添加的其他有效用户设置密码。 (这也是通过sdk添加的。)
其他操作正常。我删除了不相关的代码,但我能够搜索,打印属性,添加和删除用户没有问题;但是这个修改请求失败了。如果我将ModifyRequest设置为更改某些其他属性(例如关联的电子邮件),那么也可以正常工作。
答案 0 :(得分:9)
引自:http://support.microsoft.com/kb/269190
为了修改此属性,客户端必须与服务器建立128位安全套接字层(SSL)连接。
因此,即使其他一切看起来正确,如果连接被认为不安全,您仍可能会获得SvcErr: DSID-03190F4C, problem 5003 (WILL_NOT_PERFORM)。
如果您尝试在没有足够权限的情况下执行replace,修改请求可能会失败。
dn: CN=johndoe,OU=Users,DC=example,DC=com
changetype: modify
replace: unicodePwd
unicodePwd:: base64(utf16le(quoted(password)))
-
在这种情况下,您将获得SecErr: DSID-03150E47, problem 4003 (INSUFF_ACCESS_RIGHTS)。如果您尝试使用非特权帐户bind,则会发生这种情况。
某些管理员喜欢拥有较长的密码历史记录(例如,保存了最后24个密码)。如果您使用历史记录中已有的旧密码,则会获得CONSTRAINT_ATT_TYPE。
保护连接
使用delete - add组合。
e.g。
dn: CN=johndoe,OU=Users,DC=example,DC=com
changetype: modify
delete: unicodePwd
unicodePwd:: base64(utf16le(quoted(old password)))
-
add: unicodePwd
unicodePwd:: base64(utf16le(quoted(new password)))
-
答案 1 :(得分:4)
事实证明它必须是UTF-16LE编码,然后转换为base64。
val newPass = javax.xml.bind.DatatypeConverter.printBase64Binary(('"'+"Jfi8ZH8#k"+'"').getBytes("UTF-16LE"))
诀窍。
答案 2 :(得分:1)
我的猜测"unicodePwd: " + '"' + newPass + '"'正在规避您的编码(因为String必须再次转换为字节,我敢打赌它没有使用正确的编码。)
尝试使用带有Modification个对象的MofifyRequest版本,然后使用将属性值作为 bytes 的构造函数。
val newPass = "\"Jfi8ZH8#k\"".getBytes("UTF-16LE")
// note the dquotes inside the string
val mod = new Modification(ModificationType.REPLACE, "unicodePwd", newPass)
就像您链接到的博客文章...
答案 3 :(得分:0)
我也偶然发现了这个问题。我正在将Novell.Directory.Ldap.NETStandard库用于C#。在我的情况下,问题在于密码需要加引号。这段代码对我有用:
var passwordBytes = Encoding.Unicode.GetBytes($"\"{newPassword}\"");
connection.Modify(userDn, new LdapModification(LdapModification.Replace, new LdapAttribute("unicodePwd", passwordBytes)));